Falha no WhatsApp pode permitir que pentenciais atacantes espionem chats em grupos criptografados
Considerando a proteção contra três tipos de invasores: usuário mal-intencionado, invasor de rede e servidor malicioso — um protocolo de criptografia de ponta a ponta desempenha um papel vital na segurança de serviços de mensagens instantâneas.
O objetivo principal de ter criptografia de ponta a ponta é parar de confiar nos servidores intermediários de tal forma que ninguém, nem mesmo a empresa ou o servidor que transmite os dados, pode descriptografar suas mensagens ou abusar da sua posição centralizada para manipular a serviço.
Em palavras de ordem — assumindo o pior cenário — um funcionário da empresa corrupta não deve poder espiar a comunicação criptografada de ponta a ponta por qualquer meio.
No entanto, até agora mesmo os populares serviços de mensagens criptografadas de ponta a ponta, como WhatsApp, Threema e Signal, não alcançaram o sistema de conhecimento zero.
Pesquisadores da Ruhr-Universität Bochum (RUB) na Alemanha descobriram que qualquer pessoa que controla os servidores do WhatsApp/Signal pode secretamente adicionar novos membros a qualquer grupo privado, permitindo espionar conversas em grupo, mesmo sem a permissão do administrador.
Conforme descrito pelos pesquisadores, na comunicação pairwise (quando apenas dois usuários se comunicam entre si), o servidor desempenha um papel limitado, mas no caso de bate-papos multi-usuários (conversa em grupo onde as mensagens criptografadas são transmitidas para muitos usuários), o papel dos servidores aumentam para gerenciar todo o processo.
É aí que reside o problema, ou seja, confiar nos servidores da empresa para gerenciar membros do grupo (que eventualmente têm acesso total à conversa grupal) e suas ações.
Conforme explicado no artigo RUB recentemente publicado, intitulado “Mais é menos: na segurança de ponta a ponta dos chats de grupo no Signal, WhatsApp e Threema”, uma vez que tanto o Signal como o WhatsApp não conseguem autenticar adequadamente quem está adicionando um novo membro do grupo, é possível que uma pessoa não autorizada — não um administrador de grupo ou mesmo um membro do grupo — adicione alguém ao grupo de bate-papo.
O que mais? Se você está pensando que adicionar um novo membro ao grupo mostrará uma notificação visual para outros membros, não é o caso.
De acordo com os pesquisadores, um administrador ou empregado desonesto com acesso ao servidor pode manipular (ou bloquear) as mensagens de gerenciamento de grupo que devem alertar os membros do grupo de um novo membro.
“As fraquezas descritas permitem o invasor A, que controla o servidor WhatsApp ou pode quebrar a segurança da camada de transporte, para assumir o controle total sobre um grupo. Ao inserir o grupo, no entanto, deixa traços, pois esta operação está listada na interface gráfica do usuário. O WhatsApp O servidor pode, portanto, usar o fato de que ele pode reorganizar e soltar mensagens no grupo “, diz o artigo.
“Por isso, pode armazenar em cache mensagens enviadas para o grupo, ler seu conteúdo primeiro e decidir em qual ordem são entregues aos membros. Além disso, o servidor WhatsApp pode encaminhar essas mensagens para os membros de forma individual, de modo que uma combinação de mensagens sutilmente escolhida possa ajudar para cobrir os traços “.
O WhatsApp reconheceu o problema, mas argumentou que, se um novo membro for adicionado a um grupo, digamos por qualquer um, outros membros do grupo receberão uma notificação com certeza.
“Examinamos esta questão com cuidado. Os membros existentes são notificados quando novas pessoas são adicionadas a um grupo da WhatsApp. Construímos o WhatsApp para que as mensagens de grupo não possam ser enviadas para um usuário oculto”, disse um porta-voz da WhatsApp à Wired.
“A privacidade e segurança de nossos usuários é incrivelmente importante para o WhatsApp. É por isso que coletamos pouquíssimas informações e todas as mensagens enviadas no WhatsApp estão criptografadas de ponta a ponta”.
Mas se você não faz parte de um grupo com membros muito selecionados, tenho certeza que muitos de vocês ignorariam essas notificações com facilidade.
Os pesquisadores também aconselharam as empresas a corrigir o problema apenas adicionando um mecanismo de autenticação para garantir que as mensagens de gerenciamento de grupo “assinadas” venham apenas do administrador do grupo.
No entanto, esse ataque não é fácil (serviços de exceção sob pressão legal) para executar, portanto os usuários não devem se preocupar com isso.
Fonte: WhatsApp Flaw Could Allow ‘Potential Attackers’ to Spy On Encrypted Group Chats
No entanto, esse ataque não é fácil (serviços de exceção sob pressão legal) para executar, portanto os usuários não devem se preocupar com isso.
